ЗАЩИТА ДАННЫХ
После ратификации стандарта 802.11i обсуждение проблем защищенности беспроводных сетей изменило свою направленность. Большинство специалистов решило, что заложенный в этот стандарт уровень защиты вполне удовлетворяет требованиям бизнеса и может противостоять текущим угрозам, поэтому тему можно закрыть.
Несмотря на довольно сложную сетевую архитектуру, предлагаемую стандартом, число совместимых с ним сетей растет, но сама по себе стойкая криптография не решет всех проблем. В этой статье рассматриваются те аспекты защиты беспроводных сетей, которые скорее всего останутся неизменными при любых стандартах защиты.
У нас нет беспроводных сетей!
Даже если на предприятии отсутствуют беспроводные сети, при анализе рисков необходимо учитывать угрозы, связанные с ними. Речь идет о несанкционированном использовании беспроводных технологий сотрудниками предприятия. Высокие темпы развития беспроводных решений (не только технологии 802.11), сравнительно низкие цены и простота использования сделали их доступными каждому. Сегодня практически любой сотовый телефон имеет модуль GPRS или Bluetooth, в большинстве новых ноутбуков или КПК встроены Wi-Fi-адаптеры.
Возможность поддержки беспроводных соединений в стандартных сетевых устройствах создает неконтролируемый канал утечки информации, пробивая бреши в периметре корпоративной сети. И действительно, что сможет сделать межсетевой экран для предотвращения утечки конфиденциальной информации в Интернет через канал GPRS?
Сотрудник может подключить к локальной сети беспроводную точку доступа или настроить на своем ноутбуке сетевой мост между беспроводным адаптером и локальной сетью. Он может забыть отключить беспроводной адаптер после работы с домашней сетью и т. п. Все это дает ему, а не исключено, что и внешнему злоумышленнику, возможность получения доступа к корпоративным данным.
Основные методы противодействия подобным угрозам - минимизация привилегий пользователя, контроль использования локальной и беспроводной сети. Если сотрудник работает на своем рабочем месте с необходимым минимумом привилегий, ему вряд ли удастся подключить к своему компьютеру дополнительное устройство или установить для него ПО. Контроль локальной сети помогает своевременно обнаруживать появление новых объектов, таких, как дополнительные сетевые адаптеры или точки доступа. Наличие простейших средств мониторинга беспроводных сетей позволяет своевременно обнаруживать несанкционированное подключение к корпоративной сети через беспроводные сети.
Государственное регулирование
Обычно когда говорят об организационных мероприятиях, связанных с построением беспроводной сети, вспоминают только о том, что частотные диапазоны для сетей 802.11 в России являются регулируемыми, и ссылаются на положение "О порядке назначения (присвоения) радиочастот в Российской Федерации". Но вот вы заполнили форму 1-БД, представили все необходимые документы и получили разрешение на использование частот. Достаточно ли этого, чтобы беспроводная сеть стала легитимной с точки зрения государства?
Существует ряд ситуаций, когда эксплуатируемая в компании беспроводная сеть попадет под другие нормативные акты, связанные с защитой информации, например под постановление Правительства РФ от 23 сентября 2002 г. N 691 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами". И тогда рекламные лозунги продавцов оборудования о "поддержке WEP с длиной ключа 256 бит" обернутся против вас.
Так, стандарт 802.11i предполагает шифрование трафика с помощью алгоритма AES с длиной ключа 128 бит, а для взаимной аутентификации сервера и клиента в технологии 802.1X, являющейся составной частью стандарта, может использоваться алгоритм RSA c длиной ключа 1024 бит и более. Эти факты могут подводить беспроводные сети под действие постановления.
Если внедрение сертифицированного средства защиты может быть оправдано задачами бизнеса, то перед развертыванием беспроводной сети следует обсудить этот вопрос с компетентными специалистами. Одним из направлений действий в подобной ситуации может стать отказ от встроенных в точки доступа средств защиты и переход к сертифицированным государством средствам построения VPN поверх беспроводной сети.
Отказ в обслуживании
Нововведения WPA и 802.11i направлены прежде всего на обеспечение конфиденциальности и целостности беспроводных сетей. Однако вопрос их доступности остается открытым. Общая среда передачи, выходящая за пределы физического периметра защиты, позволяет осуществлять атаки типа "отказ в обслуживании", не имея логического подключения к беспроводной сети на канальном уровне. DoS-атаки в сетях Wi-Fi можно разделить по уровню модели OSI, на котором они реализуются. Специфичными для беспроводных сетей являются физический и канальный уровни.
Поскольку среда передачи в беспроводных сетях является общедоступной, любой из абонентов может занять ее для эксклюзивного доступа. Ситуация очень похожа на времена коаксиального Ethernet, когда в случае выхода из строя терминатора или одного из сетевых адаптеров вставала вся сеть. В Интернете довольно просто обнаружить несколько свободно распространяемых устройств, генерирующих в диапазоне 2,4 ГГц сигнал достаточной мощности для вывода из строя Wi-Fi-сети.
Атаки на канальном уровне позволяют злоумышленнику разрывать выборочные соединения с точкой доступа. Наиболее распространенные варианты этих атак - отказы от ассоциации и от аутентификации (deauthentication/disassociation). При осуществлении данного типа атак злоумышленник посылает служебные пакеты "отказ от ассоциации" от MAC-адреса точки доступа к клиенту и наоборот. Поскольку дополнительная аутентификация данных пакетов не требуется, клиент разрывает текущее соединение с точкой доступа. Подобные атаки часто осуществляются как подготовительная фаза атак на клиентов беспроводных сетей.
Желающим подробнее ознакомиться с проблемами защиты беспроводных сетей от DoS-атак можно порекомендовать доклад Джона Веллардо и Стефана Саваджа "802.11 Denial-of-Service Attacks" (http://ramp.ucsd.edu/~bellardo/pubs/usenix-sec03-80211dos-html/aio.html).
Как и от многих других реализаций DoS-атак, однозначных методов защиты от атак типа "отказ в обслуживании" в беспроводных сетях не существует. Однако большинство средств мониторинга беспроводных сетей позволяют обнаруживать попытки реализации подобных атак.
Атаки на клиентов беспроводных сетей
Вектор угроз постепенно смещается с серверов на клиентские рабочие места. И действительно, зачем пытаться проникнуть на защищенный сервер, когда легче получить доступ к клиентской станции и работать с информацией на сервере в контексте безопасности текущего пользователя. Ведь для осуществления задач промышленного шпионажа привилегий пользовательского уровня вполне достаточно.
Беспроводные технологии здесь не являются исключением. Поскольку методы защиты от несанкционированных подключений, реализованные в стандартах WPA и 802.11i, довольно трудно обойти, злоумышленники атакуют наименее защищенную часть сетевой инфраструктуры - клиентские рабочие станции.
Для того чтобы осознать проблемы безопасности клиентов беспроводных сетей, можно представить их в качестве клиентов VPN, получающих доступ к корпоративной сети через агрессивную среду Интернета, в то время как потенциальные нарушители находятся в одном с ними локальном сегменте.
Рассмотрим примеры атак на клиентов беспроводных сетей.
Предположим, что пользователь подключил к корпоративной сети свой ноутбук, с которым он работает и в домашней беспроводной сети, следовательно, в настройках сетевого адаптера у него есть два профиля подключения - локальная сеть предприятия и домашняя сеть. Злоумышленник, атакуя на канальном или физическом уровне, разрывает соединение с корпоративной сетью, после чего клиентская машина начинает рассылать запросы на подключение (Probe Request) к описанным в настройках адаптера сетям. Воспользовавшись этой информацией, злоумышленник может создать ложную точку доступа с параметрами домашней сети и получить возможность взаимодействия с рабочей станцией пользователя. Дальнейшее развитие атаки уже зависит от степени защищенности ОС и приложений, установленных на пользовательском компьютере.
Еще один пример касается организации канала утечки информации из корпоративной сети. Большинство беспроводных сетевых адаптеров могут работать как в режиме взаимодействия с точкой доступа, так и в одноранговой (IBSS, Ad-hoc) сети. Воспользовавшись методами социотехники (например, прислав по электронной почте "ну очень полезную программу"), злоумышленник может вынудить пользователя перевести беспроводной адаптер в режим Ad-hoc, после чего соединиться с рабочей станцией во время ее работы в корпоративной сети.
В статье обозначен далеко не весь круг проблем, связанных с безопасным использованием беспроводных технологий. Однако при построении защищенной беспроводной сети не стоит упускать из внимания такие аспекты, как уязвимость к атакам "отказ в обслуживании", проблемы с идентификацией источника атаки и возможность атак на клиентские рабочие места как техническими методами, так и через "уязвимости в головах пользователей".
С автором можно связаться по адресу: gordey@itsecurity.ru.
